Многие компании, особенно в условиях ускоренного закрытия, при подготовке отчетных данных сталкиваются с трудностями, связанными с качеством входящей информации или несвоевременностью ее предоставления. Несовершенство IT-систем и отсутствие унифицированных документов также добавляет головной боли бухгалтерам. В то же время инвесторы, кредиторы, акционеры и прочие заинтересованные лица ожидают качественной отчетности и в кратчайшие сроки. В связи с этим финансисты вынуждены балансировать между относительной полнотой отчетности, сроками ее выпуска и затратами на подготовку.
Возможно, при высоком уровне автоматизации и стандартизации (в идеальных условиях) отчетность будет сочетать в себе все перечисленные факторы, а пока компаниям приходится искать инструменты эффективного управления рисками искажения отчетности.
Риск в общем понимании представляет собой неблагоприятное событие в будущем, которое может повлиять на достижение компанией поставленных целей — в данном случае выпуска в срок отчетности, верной во всех существенных аспектах.
Аппетит к риску — сумма потенциального негативного влияния, который компания готова принять в рамках достижения своих целей. В отношении подготовки отчетности может означать сумму допустимого материального искажения.
Управление рисками — это процесс идентификации, оценки и реагирования на негативные факторы в рамках аппетита компании к риску.
Для того чтобы помочь компаниям структурировать и развивать систему управления рисками, комитет организаций-спонсоров комиссии Тредвея (COSO) в 2004 году разработал руководство по управлению рисками компаний «Управление рисками компании — концептуальные основы» (Enterprise Risk Management — Integrated Frameworк). Документ рекомендует определить цели компании, выявить и оценить риски, препятствующие их достижению, после чего выработать стратегию реагирования в рамках аппетита к риску.
В настоящее время этот документ является основным руководством для специалистов по управлению.
Основными принципами эффективного управления рисками являются:
фокус на целях и стратегии компании. К примеру, бухгалтерия не должна предъявлять излишних формальных требований к нефинансовым службам компании по предоставлению громоздких расшифровок, которые позволят сформировать 100 процентов дополнительных начислений. В данном случае рекомендуется провести анализ существенности операций и сосредоточиться на наиболее материальных;
баланс затрат и выгод. Оценка на обесценение материальных запасов, которая требует расширенного анализа, может проводиться ежеквартально или даже раз в год, если историческая сумма списаний и текущая конъюнктура рынка позволяют с достаточной уверенностью предположить, что искажение не достигнет порогового значения;
открытая коммуникация между всеми звеньями процесса. Например, IT-отделы должны заранее уведомлять финансовые службы о возможном исчерпании файлового пространства или ресурсов систем, а последние в свою очередь — службу закупок о необходимости приобретения дополнительных мощностей в связи с ростом числа операций;
персональная ответственность. Назначение владельцев риска позволяет усилить контроль за мониторингом риска и действиями по управлению им;
постоянный мониторинг. Сформированный, допустим, пять лет назад реестр рисков вряд ли будет хорошим подспорьем в текущий момент. Определение причин возникновения рисков и их периодический мониторинг позволят выявить момент, когда реестр необходимо обновить или уточнить.
Компания, решившая внедрить систему управления рисками, должна одновременно развивать риск-культуру, а именно ценности, которые являются движущей силой и определяют, насколько широко и открыто в компании обсуждаются риски и потери, а также вовлеченность всех уровней менеджмента в процесс управления.
Для снижения рисков возникновения искажений в финансовой отчетности компании принимают ряд мер, которые можно условно разделить на две категории: контроль качества ведения первичного учета и контроль качества составления отчетности.
Контроль качества ведения учета направлен на обеспечение отражения в отчетности: а) всех совершенных операций с целью не допустить хищений и мошенничества, б) операций в соответствии с их экономической сущностью, чтобы не ввести пользователя в заблуждение относительно характера проводимых операций. Контроль качества составления отчетности обеспечивается наличием дополнительных контрольных процедур. В частности, проводится сверка отчетности по РСБУ, управленческому учету и МСФО и дается разъяснение по возникающим разницам. Сотрудники отдела МСФО проверяют рабочие файлы друг за другом, составляют чек-листы и анализируют изменение данных по сравнению с предыдущим периодом. Аудиторы также выполняют контрольную функцию, проводя ежегодную проверку отчетности и обзорную полугодовую проверку. |
При нормальном функционировании компании в процесс управления рисками вовлечены все работники в рамках своих должностных обязанностей, владельцы компании, а также различные независимые комитеты.
Формально можно выделить следующих участников:
непосредственно ответственный за управление риском (НО) — как правило, владелец того или иного процесса. Важно назначить именно сотрудника, а не группу или отдел, так как во втором случае снижается ответственность каждого индивида и проявляется синдром «общее — значит ничье»;
владелец риска (ВР) — представитель высшего менеджмента (директор по управлению рисками или лицо, исполняющее его функции), отвечающий за риск-менеджмент предприятия;
консультант (К) — тот, кто обеспечивает управление риском путем предоставления консультаций, проведения проверок в рамках своих должностных обязанностей;
информируемое о результатах лицо (ИЛ) — как правило, высший менеджмент, акционеры, участники, аудиторский комитет и другие заинтересованные лица.
Участники процесса управления риском «Рост остатков незавершенного строительства без движения свыше года» приведены в таблице 1.
Участник
|
Должность
|
Функции
|
НО |
Технический директор |
Осуществляет меры, направленные на своевременный ввод в эксплуатацию построенных сооружений |
ВР |
Финансовый директор |
Проводит мониторинг и контролирует поддержание объектов незавершенного строительства на приемлемом для компании уровне |
К |
Внутренний аудитор |
Выявляет причины задержек ввода в эксплуатацию объектов незавершенного строительства и дает рекомендации по устранению недостатков в рамках аудиторского отчета |
ИЛ |
Генеральный директор, внешний аудитор |
Получают регулярные отчеты об управлении риском |
Сложности могут заключаться в том, чтобы заставить сотрудников выполнять все требования регламентов, где прописаны методы контроля. Для этого руководству и службе внутреннего аудита следует контролировать данный процесс, а у работников должно быть достаточно рабочего времени и материальных и нематериальных стимулов для выполнения обязанностей. |
Ключевыми задачами управления рисками искажения финансовой отчетности являются:
повышение качества отчетности в рамках целей и аппетита к риску (для одних предприятий это означает закрытие отчетного периода за четыре дня, для других — за три месяца, но с минимальными затратами на подготовку);
увеличение эффективности бизнес-процессов подготовки отчетности (например, централизация разработки учетной политики в головной компании и устранение дублирующих функций методологов в филиалах позволит унифицировать подходы к отражению операций);
снижение объема ошибок в отчетности и замечаний со стороны аудиторов (руководитель может распределять свое время на проверку корректировок в пропорции к присущему им риску, что позволит осуществлять двойной контроль над сложными, нерутинными операциями);
повышение качества управленческих решений (чем более качественная и детальная финансовая информация доступна, тем более взвешенными будут решения менеджеров);
улучшение имиджа компании, в том числе для инвесторов, партнеров и потребителей (прозрачность и качество отчетности, а также декларируемая система управления рисками являются преимуществами и могут повысить лояльность контрагентов, в том числе кредиторов);
дополнительный контроль над филиалами, дочерними компаниями и так далее.
Эффективную систему контроля можно построить несколькими способами: 1) сформировать специальный департамент по контролю либо 2) создать такую структуру управления, в которой функции департамента по контролю (полностью или частично) будут распределены по смежным подразделениям. Создаётся централизованная система управления с многоуровневым согласованием бизнес-процессов и внедрения единой ERP-системы во все сегменты бизнеса. Дополнительно проводится максимальная автоматизация сопутствующих процессов, в том числе хранение информации в электронном виде. Потребуются значительные ресурсы на поддержание и доработку ERP-системы. Такой подход позволяет поддерживать эффективную систему контроля в организации в отсутствие многочисленного департамента по внутреннему контролю. |
Начальным этапом риск-менеджмента является построение реестра рисков. Для этого нужно проанализировать такие аспекты деятельности компании, как отрасль, специфика бизнеса, цели, требования к раскрытиям в финансовой отчетности, а также рассмотреть финансовые результаты прошлых периодов. Каждый из этих аспектов деятельности компании содержит явные и скрытые риски возможного искажения статей финансовой отчетности.
Основой выявления факторов риска является среда, в которой компания ведет деятельность. В связи с этим в реестр рисков должен войти анализ таких внешних факторов, как:
- положение компании в отрасли;
- требования антимонопольного законодательства,
- тарифного регулирования и денежно-кредитной политики (в том числе валютного контроля);
- анализ процентных ставок и доступности финансирования;
- прогноз уровня инфляции и изменения курсов валют;
- мониторинг нормативно-правовой среды.
Любое изменение законодательства приводит к необходимости оценки рисков несоответствия новым требованиям и несвоевременного их применения.
Для выявления источников риска, определяемых характером бизнеса, следует проанализировать основную деятельность компании, структуру ее капитала, финансовую отчетность и инвестиции. Компоненты для анализа приведены в таблице 2.
Таблица 2. Компоненты Анализа для выявления рисков, связанных со спецификой бизнеса
Основная деятельность |
Инвестиции |
Структура капитала |
Финансовая отчетность |
Виды доходов (в том числе электронная коммерция); |
Структура Группы; |
Структура долга; |
Отраслевые практики; |
Важно понимать, что риски искажения финансовой отчетности возникают, в том числе, из операционных рисков, поэтому одним из факторов эффективного управления является вовлеченность всех функциональных департаментов компании в процесс их обнаружения, оценки и выработки стратегии реагирования.
Наличие целей, их проработанность и детальность, разработка планов действий в случае неблагоприятного развития событий, знание источников информации об угрозах свидетельствуют о развитой системе риск-менеджмента. И наоборот, отсутствие четких и прозрачных целей может послужить препятствием для понимания рисков, с которыми сталкивается бизнес.
Управленческая и финансовая отчетность сами по себе являются хорошим источником для идентификации рисков. Однако важно не ограничиваться строками отчетности в силу того, что существует вероятность компромисса полноты и корректности. Например, актив или обязательство могут отсутствовать в строке отчетности вследствие того, что их стоимость была ошибочно занижена.
Источниками выявления рисков также являются:
отклонения от выполнения бюджета;
динамика изменений финансовых показателей по периодам;
отчеты аналитиков и рейтинговых агентств;
ключевые показатели эффективности управления;
политика выплаты компенсаций и предоставления льгот;
раскрытия в финансовой отчетности и других публичных формах.
Перечисленные источники рекомендуем подкреплять анализом документации, опросами и другими аудиторскими методами подтверждения информации (см. табл. 3).
Таблица 3. Источники информации для Аудиторов
Виды документов |
Опросы |
Прочие методы подтверждения информации |
Протоколы комитетов; |
Интервью с высшим руководством; |
Подписка на просмотр заключенных договоров; |
Рисковыми являются статьи отчетности, которые требуют субъективной оценки или сложных расчетов. Субъективный подход имеет место при оценке обесценения объектов основных средств или незавершенного строительства, необходимости капитализации или списания расходов на НИОКР, вероятности наступления определяющего события при создании резерва (особенно по судебным искам), при классификации активов как предназначенных для продажи, а также в расчете отложенных налогов при оценке вероятности наличия будущих прибылей для использования налогового убытка. Снижение риска по этим статьям возможно путем привлечения квалифицированных экспертов как внутренних (главный механик/инженер при решении вопросов по ОС, НЗС и НИОКР, руководство завода — при решении вопросов в отношении перспектив использования НИОКР и т. п.), так и внешних (оценщики, аудиторы, актуарии). К статьям, требующим сложных расчетов, относятся обязательства по лизингу, актуарные обязательства, справедливая стоимость финансовых инструментов, а также распределение себестоимости реализованной продукции по первичным статьям затрат. Снижению рисков здесь способствует наличие стандартизированных шаблонов для расчетов проводки, а также проверка расчетов руководителем отдела. |
После того как реестр рисков сформирован, можно приступить ко второму этапу — оценке и приоритизации рисков. В условиях ограниченности ресурсов, в том числе людских, расстановка приоритетов и формирование перечня ключевых рисков является первостепенной задачей руководства.
Традиционно риски оцениваются по двум критериям:
оценка негативного эффекта (например, в стоимостном или балльном выражении либо с использованием качественной оценки «низкий»/«высокий»);
оценка вероятности реализации (баллы, проценты или даже частота либо качественное определение «низкая»/«высокая»).
Установление стоимостного критерия, при котором риск становится неприемлемым (критерия материальности), должно предшествовать оценке рисков по балльной системе. Критериев материальности может быть несколько: выручка, себестоимость, прибыль до налогообложения, чистая прибыль, чистые активы и так далее.
Величина негативного эффекта от реализации риска оценивается на основании данных прошлых периодов. Причем комбинирование рисков не возбраняется.
Оценка вероятности — более субъективный фактор, который требует использования суждений менеджмента. Вероятность наступления события зависит от волатильности внешних и внутренних факторов, а также от контрольной среды, сдерживающей наступление неблагоприятного события.
Компенсирующие контроли — это среда и процедуры, позволяющие снизить эффект или вероятность реализации риска.
Существенным ограничением для качественной оценки риска («низ кий»/«высокий») является невозможность его сравнения с затратами на управление данным риском.
После того как все риски выявлены, ранжированы и оценены, необходимо предотвратить
Решение о стоимости и выгодах должно быть взвешенным, поэтому в процесс его принятия следует вовлечь всех участников.
Выделяют следующие методы реагирования на риск:
Принятие риска. Риск в текущей оценке признается приемлемым и не требующим дополнительных контрольных действий.
Управление риском. Уровень риска признается неприемлемым и требующим реагирования (например, внедрения контрольных процедур или других действий менеджмента).
Передача риска. Под передачей риска понимается аутсорсинг деятельности, изменение условий договора (например, условий поставки товара), страхование или хеджирование. Кроме того, риск может быть передан из дочернего предприятия в штаб-квартиру. Важно понимать, что передача полностью не элиминирует риск (например, аутсорсинг расчета заработной платы не избавляет компанию от необходимости проверки наличия контрольных процедур у поставщика услуг и последующего мониторинга).
Терминирование риска. Метод реагирования, при котором устраняется сам источник риска. Допустим, в ходе аудита обнаружено, что полномочия по проведению и сверке реестра платежей с банковскими выписками не разделены. Решением может стать передача контрольной функции смежному подразделению.
Управление риском — не одноразовая операция, а длительный и постоянный процесс мониторинга возможных негативных влияний различных факторов, как внешних, так и внутренних.
Для успешного внедрения системы риск-менеджмента требуется вовлечь в информационный обмен все звенья коммуникационной цепи организации. Информаторами о возможных рисках должны по возможности стать все подразделения и сотрудники.
Формирование реестра и закрепление ответственных лиц за каждым существенным риском является только стартовой точкой. Важно проводить анализ изменений с целью немедленного реагирования и эффективного управления.
Методы реагирования на риск вырабатываются исходя из затрат и выгод от принятия мер, направленных на снижение или устранение влияния риска на достижение поставленных целей.
Стратегический аудит
Комплаенс
Оптимизация бизнес-процессов налоговой функции